{"id":40515,"date":"2024-08-02T14:12:47","date_gmt":"2024-08-02T17:12:47","guid":{"rendered":"https:\/\/www.tjes.jus.br\/corregedoria\/?p=40515"},"modified":"2024-08-02T14:12:49","modified_gmt":"2024-08-02T17:12:49","slug":"ato-normativo-no-143-2024-disp-03-07-2024","status":"publish","type":"post","link":"https:\/\/www.tjes.jus.br\/corregedoria\/2024\/08\/02\/ato-normativo-no-143-2024-disp-03-07-2024\/","title":{"rendered":"ATO NORMATIVO N\u00ba 143\/2024 \u2013 DISP. 03\/07\/2024"},"content":{"rendered":"\n
\n

PODER JUDICI\u00c1RIO DO ESTADO DO ESP\u00cdRITO SANTO – PJES<\/strong><\/p>\n

RUA DESEMBARGADOR HOMERO MAFRA,60 – Bairro ENSEADA DO SU\u00c1 – CEP 29050906 – Vit\u00f3ria – ES – www.tjes.jus.br<\/p>\n

\u00a0<\/p>\n

ATO<\/strong>\u00a0NORMATIVO N\u00ba 143\/2024<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Institui o Protocolo de Preven\u00e7\u00e3o de\u00a0Incidentes Cibern\u00e9ticos no \u00e2mbito do Tribunal de Justi\u00e7a do\u00a0Estado do Esp\u00edrito Santo.<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

O PRESIDENTE DO TRIBUNAL DE JUSTI\u00c7A DO ESTADO DO ESP\u00cdRITO SANTO<\/strong>, no uso de suas atribui\u00e7\u00f5es legais e regimentais, e<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>a Resolu\u00e7\u00e3o n\u00ba 396, de 7 de junho de 2021, do Conselho Nacional de Justi\u00e7a (CNJ), que Instituiu a Estrat\u00e9gia Nacional de Seguran\u00e7a Cibern\u00e9tica do Poder Judici\u00e1rio (ENSEC-PJ);<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>o anexo I da Portaria n\u00ba 162, de 10 de junho de 2021, do Conselho Nacional de Justi\u00e7a, que constitui o Protocolo de Preven\u00e7\u00e3o de Incidentes Cibern\u00e9ticos do Poder Judici\u00e1rio (PPINC-PJ);<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>os anexos IV, V e VI da Portaria n\u00ba 162, de 10 de junho de 2021, do Conselho Nacional de Justi\u00e7a, que cont\u00eam os manuais referentes \u00e0 Prote\u00e7\u00e3o de Infraestruturas Cr\u00edticas de TIC, Preven\u00e7\u00e3o e Mitiga\u00e7\u00e3o de Amea\u00e7as Cibern\u00e9ticas e Confian\u00e7a Digital e, ainda, Gest\u00e3o de Identidades;<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO<\/strong>\u00a0os termos da Resolu\u00e7\u00e3o n\u00ba 370, de 28 de janeiro de 2021, do Conselho Nacional de Justi\u00e7a, que Instituiu a Estrat\u00e9gia Nacional de Tecnologia da Informa\u00e7\u00e3o e Comunica\u00e7\u00e3o do Poder Judici\u00e1rio (ENTICJUD);<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>a Norma ABNT NBR ISO\/IEC 27001:2013, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o dentro da organiza\u00e7\u00e3o;<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>a Norma ABNT NBR ISO\/IEC 27002:2022, que trata de princ\u00edpios e diretrizes gerais para a Gest\u00e3o da Seguran\u00e7a da Informa\u00e7\u00e3o;<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>o n\u00famero crescente de incidentes cibern\u00e9ticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>as boas pr\u00e1ticas de Governan\u00e7a de Tecnologia da Informa\u00e7\u00e3o e Comunica\u00e7\u00e3o que visam garantir a disponibilidade, integridade, confidencialidade e autenticidade dos ativos tecnol\u00f3gicos deste Tribunal;<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>a necessidade de agir de forma proativa a incidentes de seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

\u00a0<\/p>\n

CONSIDERANDO\u00a0<\/strong>o regramento da Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o do Tribunal de Justi\u00e7a do Estado do Esp\u00edrito Santo;<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

RESOLVE:<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 1\u00ba\u00a0<\/strong>Instituir o Protocolo de Preven\u00e7\u00e3o de\u00a0Incidentes Cibern\u00e9ticos no \u00e2mbito do Tribunal de Justi\u00e7a do Estado do Esp\u00edrito Santo, nos termos deste ato.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

CAP\u00cdTULO I<\/strong><\/p>\n

DISPOSI\u00c7\u00d5ES PRELIMINARES<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 2\u00ba\u00a0<\/strong>O Protocolo de Preven\u00e7\u00e3o de Incidentes Cibern\u00e9ticos do TJES tem como objetivo:<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

I – prevenir incidentes cibern\u00e9ticos por meio das fun\u00e7\u00f5es identificar, proteger, detectar, responder e recuperar;<\/p>\n

II – disciplinar o funcionamento da Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR) no \u00e2mbito do Tribunal de Justi\u00e7a do Estado do Esp\u00edrito Santo;<\/p>\n

III – promover alinhamento \u00e0s normas, regulamenta\u00e7\u00f5es e \u00e0s melhores pr\u00e1ticas relacionadas \u00e0 Gest\u00e3o de Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o;<\/p>\n

IV – promover a\u00e7\u00f5es que contribuam para a resili\u00eancia dos servi\u00e7os de Tecnologia da Informa\u00e7\u00e3o a ataques cibern\u00e9ticos.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 3\u00ba\u00a0<\/strong>Para os efeitos deste normativo, s\u00e3o estabelecidas as seguintes defini\u00e7\u00f5es:<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

I – Ativo: qualquer coisa que represente valor para uma institui\u00e7\u00e3o, tal como a informa\u00e7\u00e3o;<\/p>\n

II – CGTIC: refere-se ao Comit\u00ea Gestor de Tecnologia da Informa\u00e7\u00e3o e Comunica\u00e7\u00e3o que tem como principal objetivo elaborar planos t\u00e1ticos e operacionais, an\u00e1lise t\u00e9cnica de demandas, acompanhamento da execu\u00e7\u00e3o de planos, projetos e a\u00e7\u00f5es que envolvam tecnologia da informa\u00e7\u00e3o e comunica\u00e7\u00e3o;<\/p>\n

III – CGSI: refere-se ao Comit\u00ea Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o que \u00e9 uma equipe multidisciplinar, subordinada \u00e0 Presid\u00eancia, com responsabilidade de deliberar, conduzir e fiscalizar as a\u00e7\u00f5es de seguran\u00e7a da informa\u00e7\u00e3o no TJES;<\/p>\n

IV – Controle: provid\u00eancia que modifica o risco, incluindo qualquer processo, pol\u00edtica, dispositivo, pr\u00e1tica ou a\u00e7\u00e3o;<\/p>\n

V – ETIR: refere-se \u00e0 Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais cuja denomina\u00e7\u00e3o \u00e9 tradicionalmente atribu\u00edda a grupos de resposta a incidentes de seguran\u00e7a da informa\u00e7\u00e3o, embora os incidentes n\u00e3o mais se limitem \u00e0 tecnologia;<\/p>\n

VI – Incidente de Seguran\u00e7a da Informa\u00e7\u00e3o: evento que viola ou representa amea\u00e7a iminente de viola\u00e7\u00e3o de pol\u00edtica de seguran\u00e7a, de pol\u00edtica de uso aceit\u00e1vel ou de pr\u00e1tica de seguran\u00e7a padr\u00e3o;<\/p>\n

VII – PPINC-PJ: refere-se ao Protocolo de Preven\u00e7\u00e3o de Incidentes Cibern\u00e9ticos do Poder Judici\u00e1rio definido pelo CNJ, que contempla conjunto de diretrizes para a preven\u00e7\u00e3o de incidentes cibern\u00e9ticos em seu mais alto n\u00edvel;<\/p>\n

VIII – Resili\u00eancia: poder de recupera\u00e7\u00e3o ou capacidade de determinada organiza\u00e7\u00e3o resistir aos efeitos de um incidente;<\/p>\n

IX – Seguran\u00e7a Cibern\u00e9tica: \u00e9 um conjunto de pr\u00e1ticas que protege informa\u00e7\u00e3o armazenada em dispositivos computacionais (computadores, dispositivos m\u00f3veis, etc) e transmitida atrav\u00e9s de redes de comunica\u00e7\u00e3o, incluindo a Internet e redes de telefonia celular;<\/p>\n

X – Seguran\u00e7a da Informa\u00e7\u00e3o: refere-se a medidas que visam a prote\u00e7\u00e3o da informa\u00e7\u00e3o de v\u00e1rios tipos de amea\u00e7as para garantir a continuidade do neg\u00f3cio, incluindo a preserva\u00e7\u00e3o da disponibilidade, da confidencialidade, da integridade e da autenticidade das informa\u00e7\u00f5es e dos sistemas. Enquanto a Seguran\u00e7a Cibern\u00e9tica se aplica a uma parte da seguran\u00e7a da informa\u00e7\u00e3o com foco na prote\u00e7\u00e3o digital, cuidando das amea\u00e7as \u00e0s informa\u00e7\u00f5es transportadas por meios cibern\u00e9ticos, a Seguran\u00e7a da Informa\u00e7\u00e3o tem um foco mais amplo, cuidando da redu\u00e7\u00e3o de riscos no transporte de dados por qualquer meio, seja digital ou n\u00e3o;<\/p>\n

XI – SGSI: refere-se ao Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o que \u00e9 constitu\u00eddo por pol\u00edticas, procedimentos, manuais e recursos associados e atividades coletivas gerenciadas por uma organiza\u00e7\u00e3o na busca de proteger seus ativos de informa\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 4\u00ba<\/strong>\u00a0Para implementa\u00e7\u00e3o desta norma, dever\u00e3o ser observados pelas \u00e1reas envolvidas os princ\u00edpios cr\u00edticos definidos no PPINC-PJ, que s\u00e3o:<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

I – uso de base de conhecimento de defesa;<\/p>\n

II – prioriza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

III – defini\u00e7\u00e3o e estabelecimento de instrumentos de medi\u00e7\u00e3o e m\u00e9tricas;<\/p>\n

IV – diagn\u00f3stico cont\u00ednuo;<\/p>\n

V \u2013 forma\u00e7\u00e3o, capacita\u00e7\u00e3o e conscientiza\u00e7\u00e3o;<\/p>\n

VI – busca de solu\u00e7\u00f5es automatizadas de seguran\u00e7a cibern\u00e9tica;<\/p>\n

VII – resili\u00eancia.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

CAP\u00cdTULO II<\/strong><\/p>\n

COMPET\u00caNCIA DE ATUA\u00c7\u00c3O<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 5\u00ba<\/strong>\u00a0Cabe \u00e0 Presid\u00eancia do Tribunal:<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

I – analisar as delibera\u00e7\u00f5es da Comit\u00ea Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o (CGSI) sobre gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o e decidir sobre poss\u00edveis provid\u00eancias;<\/p>\n

II – formalizar a aceita\u00e7\u00e3o da execu\u00e7\u00e3o das a\u00e7\u00f5es propostas para conter ou prevenir incidentes de seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

III – comunicar ao \u00f3rg\u00e3o de pol\u00edcia judici\u00e1ria com atribui\u00e7\u00e3o para apurar os fatos, na ocorr\u00eancia de incidentes penalmente relevantes;<\/p>\n

IV – acionar o Comit\u00ea de Crises Cibern\u00e9ticas, nos termos do Protocolo de Gerenciamento de Crises Cibern\u00e9ticas, quando necess\u00e1rio.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 6\u00ba<\/strong>\u00a0Cabe ao Comit\u00ea Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o:<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

I – deliberar sobre as principais diretrizes e temas relacionados \u00e0 Gest\u00e3o de Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o;<\/p>\n

II – monitorar e avaliar periodicamente a estrutura de Gest\u00e3o de Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o e o sistema de controles internos, assim como propor melhorias consideradas necess\u00e1rias;<\/p>\n

III – aprovar formalmente o processo de Gest\u00e3o de Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o e suas futuras revis\u00f5es;<\/p>\n

IV – deliberar sobre a\u00e7\u00f5es de conten\u00e7\u00e3o ou preven\u00e7\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

V – manifestar-se sobre mat\u00e9rias atinentes \u00e0 seguran\u00e7a da informa\u00e7\u00e3o que lhe sejam submetidas;<\/p>\n

VI – assessorar, em mat\u00e9rias correlatas, a Presid\u00eancia do TJES.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 7\u00ba<\/strong>\u00a0Cabe \u00e0 Se\u00e7\u00e3o de Redes e Telecomunica\u00e7\u00f5es, quanto aos ativos sob sua responsabilidade:<\/p>\n

\u00a0<\/p>\n

I – monitorar e comunicar \u00e0 ETIR os incidentes de seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

II – assegurar a implementa\u00e7\u00e3o das a\u00e7\u00f5es e dos controles definidos para preven\u00e7\u00e3o, conten\u00e7\u00e3o, erradica\u00e7\u00e3o e recupera\u00e7\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 8\u00ba<\/strong>\u00a0Cabe \u00e0 Coordenadoria de Suporte e Manuten\u00e7\u00e3o:<\/p>\n

\u00a0<\/p>\n

I – coordenar a institui\u00e7\u00e3o, capacita\u00e7\u00e3o, implementa\u00e7\u00e3o e manuten\u00e7\u00e3o da infraestrutura necess\u00e1ria \u00e0 Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR);<\/p>\n

II – garantir que os incidentes de seguran\u00e7a na rede do TJES sejam devidamente tratados;<\/p>\n

III – adotar procedimentos de feedback para assegurar que os usu\u00e1rios que comuniquem incidentes de seguran\u00e7a da informa\u00e7\u00e3o na rede interna de computadores sejam informados dos procedimentos adotados;<\/p>\n

IV – disseminar cultura voltada para comunica\u00e7\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

V – subsidiar o Comit\u00ea Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o com informa\u00e7\u00f5es pertinentes \u00e0 estrutura de gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

VI – desenvolver, testar e implementar um Processo de Gest\u00e3o de Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o e garantir sua efetividade.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 9\u00ba<\/strong>\u00a0A Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR) tem a responsabilidade de receber, analisar, classificar, tratar e responder \u00e0s notifica\u00e7\u00f5es e atividades relacionadas a incidentes de seguran\u00e7a em redes de computadores.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 10<\/strong>\u00a0O funcionamento da ETIR do TJES, bem como a defini\u00e7\u00e3o da miss\u00e3o, p\u00fablico-alvo, modelo de implementa\u00e7\u00e3o, n\u00edvel de autonomia, integrantes, canais de comunica\u00e7\u00e3o de incidentes e os servi\u00e7os a serem prestados ser\u00e3o disciplinados nos competentes atos normativos.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

CAP\u00cdTULO III<\/strong><\/p>\n

DAS FUN\u00c7\u00d5ES DO PROTOCOLO DE PREVEN\u00c7\u00c3O A INCIDENTES CIBERN\u00c9TICOS<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 11\u00a0<\/strong>Conforme defini\u00e7\u00e3o do PPINC-PJ, s\u00e3o fun\u00e7\u00f5es b\u00e1sicas do Protocolo de Preven\u00e7\u00e3o a Incidentes Cibern\u00e9ticos: identificar, detectar e responder ao incidente, al\u00e9m de proteger e recuperar a informa\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Se\u00e7\u00e3o I<\/strong><\/p>\n

Da Fun\u00e7\u00e3o Identificar<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 12\u00a0<\/strong>A fun\u00e7\u00e3o \u201cidentificar\u201d consiste na an\u00e1lise dos riscos de ataques cibern\u00e9ticos a que sistemas, pessoas, dados, recursos e ativos de TI em geral est\u00e3o expostos, incluindo a elabora\u00e7\u00e3o e a execu\u00e7\u00e3o de um plano de tratamento dos riscos.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 13<\/strong>\u00a0A fun\u00e7\u00e3o \u201cidentificar\u201d \u00e9 executada dentro do escopo do Processo de Gest\u00e3o de Riscos de Seguran\u00e7a da Informa\u00e7\u00e3o, institu\u00eddo no Tribunal.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Se\u00e7\u00e3o II<\/strong><\/p>\n

Da Fun\u00e7\u00e3o Proteger<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 14\u00a0<\/strong>A fun\u00e7\u00e3o \u201cproteger\u201d consiste no desenvolvimento e na implementa\u00e7\u00e3o de salvaguardas que assegurem a prote\u00e7\u00e3o de dados, inclusive pessoais, ativos de informa\u00e7\u00e3o, bem como a presta\u00e7\u00e3o de servi\u00e7os.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a7 1\u00ba\u00a0<\/strong>A fun\u00e7\u00e3o \u201cproteger\u201d deve ser implementada pelo conjunto m\u00ednimo de a\u00e7\u00f5es elencadas a seguir:<\/p>\n

I \u2013 implanta\u00e7\u00e3o e aprimoramento cont\u00ednuo de um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI);<\/p>\n

II \u2013 controle de acesso e de utiliza\u00e7\u00e3o de recursos de TI;<\/p>\n

III \u2013 c\u00f3pia de seguran\u00e7a e de restaura\u00e7\u00e3o de sistemas, aplicativos, dados e documentos;<\/p>\n

IV \u2013 plano de continuidade dos servi\u00e7os essenciais de TI;<\/p>\n

V \u2013 gest\u00e3o de capacidade e disponibilidade dos servi\u00e7os essenciais de TI;<\/p>\n

VI \u2013 processo de gerenciamento de mudan\u00e7as para os ativos de TI;<\/p>\n

VII \u2013 gest\u00e3o de vulnerabilidades t\u00e9cnicas dos servi\u00e7os essenciais;<\/p>\n

VIII \u2013 utiliza\u00e7\u00e3o de ferramentas de seguran\u00e7a para esta\u00e7\u00f5es de trabalho, contendo, no m\u00ednimo, as fun\u00e7\u00f5es de antiv\u00edrus, automa\u00e7\u00e3o de pol\u00edticas de seguran\u00e7a de endpoint, prote\u00e7\u00e3o contra criptografia (ransomware), controle de aplicativos e de dispositivos remov\u00edveis;<\/p>\n

IX \u2013 controle de acesso a conte\u00fado na internet (filtragem web);<\/p>\n

X \u2013 utiliza\u00e7\u00e3o de ferramenta de seguran\u00e7a de rede next generation firewall visando oferecer os recursos mais avan\u00e7ados de filtragem e bloqueio, frente \u00e0s novas amea\u00e7as que surgem constantemente;<\/p>\n

XI \u2013 uso de antiv\u00edrus de rede, sistema de detec\u00e7\u00e3o e preven\u00e7\u00e3o de amea\u00e7as e implementa\u00e7\u00e3o de redes privadas virtuais (VPN);<\/p>\n

XII \u2013 integridade da rede protegida por meio da segmenta\u00e7\u00e3o e segrega\u00e7\u00e3o de ambientes, de maneira a estabelecer barreiras de conten\u00e7\u00e3o de danos em caso de comprometimento (sub-redes distintas por servi\u00e7os) e para garantia de recursos para servi\u00e7os priorit\u00e1rios (servi\u00e7os essenciais, em detrimento de ambientes de laborat\u00f3rio\/desenvolvimento\/homologa\u00e7\u00e3o);<\/p>\n

XIII \u2013 promover campanha e\/ou treinamento sobre seguran\u00e7a da informa\u00e7\u00e3o para magistrados e servidores;<\/p>\n

XIV \u2013 atualiza\u00e7\u00e3o tecnol\u00f3gica constante;<\/p>\n

XV \u2013 implementa\u00e7\u00e3o gradual dos controles de seguran\u00e7a da informa\u00e7\u00e3o presentes na Norma ABNT NBR ISO\/IEC 27002:2022;<\/p>\n

XVI \u2013 implementa\u00e7\u00e3o gradual dos controles m\u00ednimos recomendados no Manual de Refer\u00eancia para Prote\u00e7\u00e3o de Infraestruturas Cr\u00edticas de TIC, editado pelo Conselho Nacional de Justi\u00e7a, considerando a escala de aplicabilidade de cada controle em rela\u00e7\u00e3o ao porte e maturidade deste Tribunal em seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

XVII \u2013 implementa\u00e7\u00e3o gradual dos requisitos de resili\u00eancia cibern\u00e9tica recomendados no Manual de Preven\u00e7\u00e3o e Mitiga\u00e7\u00e3o de Amea\u00e7as Cibern\u00e9ticas e Confian\u00e7a Digital, editado pelo Conselho Nacional de Justi\u00e7a, considerando a aplicabilidade dos requisitos em rela\u00e7\u00e3o ao porte e maturidade deste Tribunal com rela\u00e7\u00e3o \u00e0 seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

XVIII \u2013 implementa\u00e7\u00e3o gradual dos requisitos de resili\u00eancia cibern\u00e9tica recomendados no Manual de Gest\u00e3o de Identidade e de Controle de Acesso, editado pelo Conselho Nacional de Justi\u00e7a, considerando a aplicabilidade dos requisitos em rela\u00e7\u00e3o ao porte e maturidade deste Tribunal com rela\u00e7\u00e3o \u00e0 seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\n

XIX \u2013 implanta\u00e7\u00e3o de uma Pol\u00edtica de Educa\u00e7\u00e3o e Cultura em Seguran\u00e7a Cibern\u00e9tica, conforme o anexo VII da Portaria n\u00ba 162, de 10 de junho de 2021 do Conselho Nacional de Justi\u00e7a.<\/p>\n

\u00a0<\/p>\n

\u00a7 2\u00ba<\/strong>\u00a0As salvaguardas elencadas no \u00a7 1\u00ba deste artigo devem ser implementadas para os ativos de TIC, no que couber, considerados essenciais ou n\u00e3o ao neg\u00f3cio, permitindo variar quanto ao n\u00edvel de implementa\u00e7\u00e3o, de acordo com a natureza e criticidade do ativo.<\/p>\n

\u00a0<\/p>\n

\u00a7 3\u00ba\u00a0<\/strong>As atualiza\u00e7\u00f5es dos ativos de TIC (pacotes de seguran\u00e7a, firmware, entre outros) devem ser aplicadas, sempre que poss\u00edvel, t\u00e3o logo liberadas, mas considerando:<\/p>\n

I \u2013 os riscos decorrentes da atualiza\u00e7\u00e3o;<\/p>\n

II \u2013 os riscos decorrentes da n\u00e3o aplica\u00e7\u00e3o (ou posterga\u00e7\u00e3o);<\/p>\n

III \u2013 a criticidade do ativo;<\/p>\n

IV \u2013 a estabilidade dos servi\u00e7os.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Se\u00e7\u00e3o III<\/strong><\/p>\n

Das Fun\u00e7\u00f5es Detectar, Responder e Recuperar<\/strong><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 15\u00a0<\/strong>As atividades decorrentes das fun\u00e7\u00f5es \u201cdetectar\u201d, \u201cresponder\u201d e \u201crecuperar\u201d do Protocolo de Preven\u00e7\u00e3o de Incidentes Cibern\u00e9ticos devem estar cobertas pelo Processo de Gest\u00e3o de Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 16\u00a0<\/strong>Quando houver ind\u00edcios de il\u00edcitos criminais durante o gerenciamento dos incidentes de seguran\u00e7a, dever\u00e1, ainda, ser seguido o Protocolo de Investiga\u00e7\u00e3o para Il\u00edcitos Cibern\u00e9ticos.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Par\u00e1grafo \u00fanico.<\/strong>\u00a0Na ocorr\u00eancia da hip\u00f3tese prevista no\u00a0caput<\/em>\u00a0deste artigo, o Comit\u00ea Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o e a Presid\u00eancia do TJES dever\u00e3o ser comunicados.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 17\u00a0<\/strong>Quando o incidente de seguran\u00e7a da informa\u00e7\u00e3o decorrer de suspeita de descumprimento da Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o, ser\u00e1 observado o sigilo durante todo o processo, ficando as evid\u00eancias, informa\u00e7\u00f5es e demais registros restritos aos envolvidos na investiga\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 18\u00a0<\/strong>A gest\u00e3o de incidentes de seguran\u00e7a cibern\u00e9tica deve ser realizada por meio do Processo de Gest\u00e3o de Incidentes de Seguran\u00e7a da Informa\u00e7\u00e3o, contendo as fases de detec\u00e7\u00e3o, triagem, an\u00e1lise e respostas aos incidentes de seguran\u00e7a.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 19\u00a0<\/strong>O protocolo estabelecido neste Ato ser\u00e1 revisto anualmente ou, quando necess\u00e1rio, em menor prazo.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Art. 20\u00a0<\/strong>Este Ato entra em vigor na data de sua publica\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Publique-se.<\/p>\n

\u00a0<\/p>\n

Vit\u00f3ria, 02 de julho de 2024.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

DESEMBARGADOR SAMUEL MEIRA BRASIL J\u00daNIOR<\/strong><\/p>\n

Presidente<\/strong><\/p>\n<\/div>\n

\n
\u00a0<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

PODER JUDICI\u00c1RIO DO ESTADO DO ESP\u00cdRITO SANTO – PJES RUA DESEMBARGADOR HOMERO MAFRA,60 – Bairro ENSEADA DO SU\u00c1 – CEP 29050906 – Vit\u00f3ria – ES – www.tjes.jus.br \u00a0 ATO\u00a0NORMATIVO N\u00ba 143\/2024 \u00a0 \u00a0 Institui o Protocolo de Preven\u00e7\u00e3o de\u00a0Incidentes Cibern\u00e9ticos no \u00e2mbito do Tribunal de Justi\u00e7a do\u00a0Estado do Esp\u00edrito Santo. \u00a0 \u00a0 \u00a0 O PRESIDENTE […]<\/p>\n","protected":false},"author":8,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,14],"tags":[],"_links":{"self":[{"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/posts\/40515"}],"collection":[{"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/comments?post=40515"}],"version-history":[{"count":1,"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/posts\/40515\/revisions"}],"predecessor-version":[{"id":40516,"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/posts\/40515\/revisions\/40516"}],"wp:attachment":[{"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/media?parent=40515"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/categories?post=40515"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.tjes.jus.br\/corregedoria\/wp-json\/wp\/v2\/tags?post=40515"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}